Постоянная реклама в Chrome

**virus-hater** · 19.01.2017, 02:25

Переходы по ссылкам в Chrome проходят через какой-то рекламный сайт (без ведома устанавливается расширение SafeSurf), а также появились папки в C:\Users\Alex\AppData а-ля Kometa, Amigo, MapleStudio и т.п. При ручной попытке удаления через несколько дней появляется снова. Прошелся Autologger и FRST.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 19.01.2017, 02:26

Уважаемый(ая) virus-hater, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 20.01.2017, 14:06

Здравствуйте,

Сами ставили?

Код:

O4 - HKLM\..\Run: [yogaserver] C:\ProgramData\YogaSmartSwicth\yogaserver.exe

HiJackThis (утилита находится в папке Автологера - ...\AutoLogger\HiJackThis\) профиксить

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8888;https=127.0.0.1:8888
O18 - Protocol: mso-minsb-roaming.16 - {83C25742-A9F7-49FB-9138-434302C88D07} - (no file)
O18 - Protocol: mso-minsb.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - (no file)
O18 - Protocol: osf-roaming.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - (no file)
O18 - Protocol: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - (no file)
O18 - Protocol: skype-x - {DC964137-B8CF-4FE7-B9FE-4E04F7CA81DA} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('E:\Библиотеки\Загрузки\NPE.exe','');
 QuarantineFile('c:\windows\swusb.exe','');
 QuarantineFile('c:\windows\runsw.exe','');
 QuarantineFile('c:\windows\system32\printdisp.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

**virus-hater** · 20.01.2017, 15:29

NPE.exe скачивал сам, удалил. yogaserver.exe приложение для клавиатуры от Lenovo.
printdisp.exe ни в какую не удаляется и в карантин не добавляется, прикрепил его сюда, пароль на архив virus.
Логи Adw прикрепил.

SQ · 20.01.2017, 19:40

Сообщение от virus-hater

NPE.exe скачивал сам, удалил. yogaserver.exe приложение для клавиатуры от Lenovo.
printdisp.exe ни в какую не удаляется и в карантин не добавляется, прикрепил его сюда, пароль на архив virus.

Удалять ничего не нужно было, я спрашивал для статистики. В указанных файлов не нашлось угрозы.

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

**virus-hater** · 21.01.2017, 00:58

Логи Adw

SQ · 21.01.2017, 12:06

Сообщите, что с проблемой?

**virus-hater** · 22.01.2017, 18:49

Вроде больше не появляется. Однако до этого в приницпе делал то же самое, что и по вашей инструкции, и снова появилась.

SQ · 22.01.2017, 23:07

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**virus-hater** · 23.01.2017, 18:10

Готово

**mrak74** · 23.01.2017, 20:50

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-2635759938-1518415315-4207407866-1001\...\MountPoints2: {042674f6-7b29-11e6-8033-d9fa4360635a} - "F:\LG_PC_Programs.exe" 
HKU\S-1-5-21-2635759938-1518415315-4207407866-1001\...\MountPoints2: {094ede3b-dd42-11e3-bf18-2cd05a10f28d} - "E:\HTC_Sync_Manager_PC.exe" 
HKU\S-1-5-21-2635759938-1518415315-4207407866-1001\...\MountPoints2: {163acb00-75c6-11e4-bea9-2cd05a10f28d} - "G:\LaunchU3.exe" -a
HKU\S-1-5-21-2635759938-1518415315-4207407866-1001\...\MountPoints2: {277a95cb-d2de-11e4-bf0d-2cd05a10f28d} - "E:\MegaFonInternet_1_0_1_MGF.exe" 
HKU\S-1-5-21-2635759938-1518415315-4207407866-1001\...\MountPoints2: {33e42bc9-be8b-11e5-bfb2-b1b3b19d6b03} - "F:\HTC_Sync_Manager_PC.exe" 
HKU\S-1-5-21-2635759938-1518415315-4207407866-1001\...\MountPoints2: {5510d391-da9c-11e4-bf1a-2cd05a10f28d} - "E:\HTC_Sync_Manager_PC.exe" 
HKU\S-1-5-21-2635759938-1518415315-4207407866-1001\...\MountPoints2: {6403b540-a4bd-11e3-beee-2cd05a10f28d} - "G:\HTC_Sync_Manager_PC.exe" 
HKU\S-1-5-21-2635759938-1518415315-4207407866-1001\...\MountPoints2: {6f2201f3-dd47-11e4-bf1e-2cd05a10f28d} - "E:\AutoRun.exe" 
HKU\S-1-5-21-2635759938-1518415315-4207407866-1001\...\MountPoints2: {7cd9c6ce-ea6f-11e4-bf27-b2b256b36c81} - "F:\HTC_Sync_Manager_PC.exe" 
HKU\S-1-5-21-2635759938-1518415315-4207407866-1001\...\MountPoints2: {86f69040-bc99-11e5-bfaf-83f9794577cc} - "F:\AutoRun.exe" 
HKU\S-1-5-21-2635759938-1518415315-4207407866-1001\...\MountPoints2: {95d7aa82-5b01-11e4-be90-2cd05a10f28d} - "E:\HTC_Sync_Manager_PC.exe" 
HKU\S-1-5-21-2635759938-1518415315-4207407866-1001\...\MountPoints2: {9e8a79e5-346a-11e4-bf66-005056c00008} - "E:\AutoRun.exe" 
HKU\S-1-5-21-2635759938-1518415315-4207407866-1001\...\MountPoints2: {ab057362-f60d-11e3-bf2f-2cd05a10f28d} - "F:\HTC_Sync_Manager_PC.exe" 
HKU\S-1-5-21-2635759938-1518415315-4207407866-1001\...\MountPoints2: {dbf17ff5-54f7-11e3-be8a-bd78eaff2e2f} - "E:\AutoRun.exe" 
HKU\S-1-5-21-2635759938-1518415315-4207407866-1001\...\MountPoints2: {f0cf85fc-c90c-11e4-bf09-2cd05a10f28d} - "E:\AutoRun.exe" 
HKU\S-1-5-21-2635759938-1518415315-4207407866-1001\...\MountPoints2: {f0cf8676-c90c-11e4-bf09-2cd05a10f28d} - "E:\AutoRun.exe" 
HKU\S-1-5-21-2635759938-1518415315-4207407866-1001\...\MountPoints2: {f0cf86c2-c90c-11e4-bf09-2cd05a10f28d} - "E:\AutoRun.exe" 
HKU\S-1-5-21-2635759938-1518415315-4207407866-1001\...\MountPoints2: {f842d93e-1f45-11e5-bf4b-2cd05a10f28d} - "E:\HTC_Sync_Manager_PC.exe" 
HKU\S-1-5-21-2635759938-1518415315-4207407866-1001\...\MountPoints2: {f84f5cea-cc4f-11e2-be7b-2cd05a10f28d} - "E:\AutoRun.exe" 
HKU\S-1-5-21-2635759938-1518415315-4207407866-1001\...\MountPoints2: {f84f5d6e-cc4f-11e2-be7b-2cd05a10f28d} - "E:\AutoRun.exe" 
ShellIconOverlayIdentifiers: [SugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} =>  -> No File
ShellIconOverlayIdentifiers: [SugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} =>  -> No File
ShellIconOverlayIdentifiers: [SugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} =>  -> No File
ShellIconOverlayIdentifiers: [SugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} =>  -> No File
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR Extension: (Adblock Plus) - C:\Users\alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2016-10-27]
CHR Extension: (Tampermonkey) - C:\Users\alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-01-06]
CHR Extension: (USA) - C:\Users\alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\oecmgmlcbjhohkikjlppgpkbfidcnohb [2016-07-29]
CHR Extension: (Mnogo.ru) - D:\MNOGO [2017-01-11] [UpdateUrl: hxxp://www.mnogo.ru/chrome_extension/updates.xml] <==== ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
Task: {30A560EE-0CCD-48E4-AF22-FA4D25E7C56F} - \Lenovo\Lenovo Customer Feedback Program 64 35 -> No File <==== ATTENTION
Task: {C3CAA54F-378A-4F35-9BC9-F179F66D9C58} - \User_Feed_Synchronization-{F308B36D-293B-4D71-994A-F36FAA5E45C1} -> No File <==== ATTENTION
Shortcut: C:\Users\alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2\Удалить MediaGet.lnk -> C:\Users\alex\AppData\Local\MediaGet2\mediaget-uninstaller.exe () <===== Cyrillic
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**virus-hater** · 23.01.2017, 21:33

Сделано

**mrak74** · 23.01.2017, 22:30

Сообщение от virus-hater

Постоянная реклама в Chrome

Что с проблемой ?

**virus-hater** · 24.01.2017, 21:43

Сообщение от mrak74

Что с проблемой ?

Вроде бы решена, больше не появлялась

**CyberHelper** · 24.01.2017, 21:53

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения вредоносные программы в карантинах не обнаружены

Постоянная реклама в Chrome (заявка № 208267)

Опции темы